Сотрудник ушёл, а доступ остался. Классика, которую находят за один аудит

Управление доступом остаётся одной из наиболее уязвимых зон корпоративной ИТ-среды. Права выдаются оперативно, поскольку этого требуют бизнес-процессы, однако отзываются нерегулярно. В результате у сотрудников и сервисных учётных записей постепенно накапливаются избыточные и забытые привилегии. Для бизнеса это оборачивается реальными рисками: от утечки конфиденциальной информации до замечаний со стороны регуляторов и простоев при выдаче доступа.

Экспресс-аудит доступов позволяет за короткий срок оценить текущее состояние прав и определить наиболее критичные отклонения. Разбираем, что представляет собой такой аудит, какие проблемы он выявляет, почему избыточные права возникают и как перейти к управляемой модели доступа.

Экспресс-аудит доступов представляет собой первичную оценку того, какие учётные записи существуют в ключевых системах компании и какими правами они обладают. В отличие от полноценного аудита информационной безопасности, он проводится в сжатые сроки и на ограниченном наборе систем. Его задача состоит в том, чтобы сформировать первичную матрицу доступа и определить участки повышенного риска.

Сбор данных выполняется безопасным способом: на основе выгрузок из систем, обезличенных данных или подключения в режиме «только чтение». Пароли и полный доступ к инфраструктуре для такой задачи не требуются, что позволяет начать работу без дополнительных согласований и без влияния на рабочие процессы.

Основная причина избыточных привилегий заключается в отсутствии управляемого процесса работы с доступом на протяжении всего жизненного цикла учётной записи.

При найме сотрудника назначается начальный набор ролей, при изменении должностных обязанностей он должен корректироваться, а при увольнении полномочия подлежат своевременному отзыву. На практике корректировка и отзыв выполняются нерегулярно, поскольку эти операции трудоёмки, не приносят видимого результата и часто не закреплены за конкретным ответственным.

Ситуацию усугубляет отсутствие владельцев у части ресурсов. Если у системы или информационного актива нет ответственного лица, то некому подтверждать заявки на доступ и проводить регулярный пересмотр прав. В таких условиях привилегии накапливаются, а история их выдачи не фиксируется. Через несколько месяцев восстановить обоснование того или иного доступа становится практически невозможно.

Отдельно следует отметить, что таблицы учёта прав в офисных редакторах не решают задачу. Они отражают состояние на момент заполнения и быстро теряют актуальность при каждом кадровом изменении.

Экспресс-аудит охватывает как человеческие, так и сервисные (машинные) учётные записи. Наиболее распространённые категории находок приведены ниже.

Отдельного внимания заслуживают сервисные учётные записи. Их количество в инфраструктуре, как правило, превышает число пользователей, при этом они реже попадают в поле зрения при кадровых изменениях и нередко используют ключи, которые не менялись более года.

Рассмотрим типовой обезличенный пример. В производственной компании среднего размера (около 200 сотрудников и пять ключевых систем: 1С, Active Directory, CRM, VPN и репозиторий кода) первичный аудит выявил следующее.

Шесть активных учётных записей принадлежали уволенным сотрудникам, две из них обладали административными правами. У пяти сотрудников после перевода сохранились полномочия прежнего подразделения. Количество учётных записей с административными правами составило девять при трёх штатных администраторах. Двадцать два ресурса не имели назначенного владельца. Из тридцати семи сервисных учётных записей почти половина была без ответственного лица. Дополнительно был выявлен конфликт разделения полномочий: один сотрудник мог одновременно завести контрагента и провести оплату.

Совокупно из приблизительно 200 учётных записей одиннадцать обладали правами, которые подлежали немедленному отзыву. До проведения аудита эти отклонения в компании не отслеживались.

Работа строится в несколько последовательных этапов.

Сначала согласовывается перечень систем для проверки, обычно от трёх до пяти наиболее значимых. Затем выполняется безопасный сбор данных на основе выгрузок или подключения в режиме чтения. На следующем этапе формируется матрица доступа, отражающая соответствие сотрудников, ресурсов и прав. После этого проводится анализ отклонений и приоритизация находок по уровню риска. Итогом становится отчёт с перечнем избыточных и забытых прав, а также с рекомендациями по их отзыву и дальнейшей автоматизации управления доступом.

Разовый аудит фиксирует состояние прав на конкретный момент времени. Однако без выстроенного процесса избыточные привилегии возникают снова, поскольку первопричина, то есть ручное и несистемное управление доступом, сохраняется.

В средних и крупных организациях управление доступом не поддаётся ручному контролю. Количество учётных записей, ролей и изменений в правах постоянно растёт, что повышает вероятность ошибок и накопления избыточных привилегий. Для централизованного контроля и автоматизации этих процессов применяются решения класса Identity Governance and Administration (IGA), а также IdM-платформы.

Наше решение по IdM относится к таким решениям. Наша платформа позволяет вести учётные записи, отделы и должности, описывать ресурсы и роли, оформлять выдачу и отзыв доступа через заявки, хранить историю изменений и строить матрицу доступа и отчёты. Поддерживаются проверка конфликтов разделения полномочий, регулярный пересмотр прав и подключение кадровых источников, AD/LDAP, 1С и других систем через коннекторы. Такой подход позволяет поддерживать принцип наименьших привилегий и снижать риски, связанные с человеческим фактором.

Избыточные и забытые права доступа представляют собой системную проблему, характерную для большинства растущих компаний. Экспресс-аудит позволяет оценить масштаб этой проблемы за короткий срок и без рисков для рабочих процессов, а переход к управляемой модели на основе IGA-решения обеспечивает устойчивый результат.

Чтобы оценить текущее состояние прав в Вашей компании, у нас доступен бесплатный экспресс-аудит доступов. В его рамках формируется матрица доступа по нескольким выбранным системам и перечень избыточных и забытых прав, а сбор данных выполняется безопасно, без передачи паролей и доступа к боевой среде.

Для уточнения деталей свяжитесь со мной.